homework 12.5: complete all tasks

2025-12-25 23:32:37 +03:00 · 2022-11-22 10:46:15 +07:00
parent 9410f7df20
commit 4c4515e096
6 changed files with 198 additions and 9 deletions
--- a/readme.md
+++ b/readme.md
@@ -61,3 +61,4 @@
 * [12.2. Команды для работы с Kubernetes](/src/homework/12-kubernetes/12.2)
 * [12.3. Развертывание кластера на собственных серверах, лекция 1](/src/homework/12-kubernetes/12.3)
 * [12.4. Развертывание кластера на собственных серверах, лекция 2](/src/homework/12-kubernetes/12.4)
+* [12.5. Сетевые решения CNI](/src/homework/12-kubernetes/12.5)
--- a/src/homework/12-kubernetes/12.4/terraform/.gitignore
+++ b/src/homework/12-kubernetes/12.4/terraform/.gitignore
@@ -33,5 +33,6 @@ override.tf.json
 # Ignore CLI configuration files
 .terraformrc
 terraform.rc
+.terraform.lock.hcl

 variables.tf
--- a/src/homework/12-kubernetes/12.4/terraform/.terraform.lock.hcl
+++ b/src/homework/12-kubernetes/12.4/terraform/.terraform.lock.hcl
@@ -1,9 +0,0 @@
-# This file is maintained automatically by "terraform init".
-# Manual edits may be lost in future updates.
-
-provider "registry.terraform.io/yandex-cloud/yandex" {
-  version = "0.82.0"
-  hashes = [
-    "h1:TV2paiynRTtVYsUbOgsHR+g6GVbCnXTgvrb4JDmNVzs=",
-  ]
-}
--- a/src/homework/12-kubernetes/12.5/config/frontend-policy.yml
+++ b/src/homework/12-kubernetes/12.5/config/frontend-policy.yml
@@ -0,0 +1,16 @@
+---
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: frontend-test-network-policy
+  namespace: default
+spec:
+  podSelector:
+    matchLabels:
+      app: frontend
+  policyTypes:
+    - Ingress
+  ingress:
+    - ports:
+        - port: 80
+        - port: 443
--- a/src/homework/12-kubernetes/12.5/config/frontend.yml
+++ b/src/homework/12-kubernetes/12.5/config/frontend.yml
@@ -0,0 +1,36 @@
+---
+apiVersion: apps/v1
+kind: Deployment
+metadata:
+  labels:
+    app: frontend
+  name: frontend
+  namespace: default
+spec:
+  replicas: 1
+  selector:
+    matchLabels:
+      app: frontend
+  template:
+    metadata:
+      labels:
+        app: frontend
+    spec:
+      containers:
+        - image: praqma/network-multitool:alpine-extra
+          imagePullPolicy: IfNotPresent
+          name: network-multitool
+      terminationGracePeriodSeconds: 30
+
+---
+apiVersion: v1
+kind: Service
+metadata:
+  name: frontend
+  namespace: default
+spec:
+  ports:
+    - name: web
+      port: 80
+  selector:
+    app: frontend
--- a/src/homework/12-kubernetes/12.5/readme.md
+++ b/src/homework/12-kubernetes/12.5/readme.md
@@ -0,0 +1,144 @@
+Выполнение [домашнего задания](https://github.com/netology-code/devkub-homeworks/blob/main/12-kubernetes-05-cni.md)
+по теме "12.5. Сетевые решения CNI"
+
+## Q/A
+
+> После работы с Flannel появилась необходимость обеспечить безопасность для приложения. Для этого лучше всего подойдет Calico.
+
+### Задание 1
+
+> Установить в кластер CNI плагин Calico
+> 
+> Для проверки других сетевых решений стоит поставить отличный от Flannel плагин — например, Calico. Требования:
+> * установка производится через ansible/kubespray;
+> * после применения следует настроить политику доступа к hello-world извне. Инструкции [kubernetes.io](https://kubernetes.io/docs/concepts/services-networking/network-policies/), [Calico](https://docs.projectcalico.org/about/about-network-policy)
+
+Значение текущего используемого сетевого плагина для кластера, развёрнутого через `kubespray`
+можно посмотреть в inventory-файле `mycluster/group_vars/k8s_cluster/k8s-cluster.yml`.
+А именно - это значение ключа `kube_network_plugin`. По умолчанию задан `calico`, поэтому никаких изменений в конфигурацию вносить не нужно.
+
+Для тестирования создадим в кластере сервис [frontend](./config/frontend.yml):
+
+```shell
+kubectl apply -f frontend.yml
+```
+
+Предполагается, что необходимо настроить политику доступа из-вне для сервиса `frontend`.
+Для этого необходимо создать спецификацию `NetworkPolicy`: [frontend-policy.yml](./config/frontend-policy.yml),
+которая говорит о том, что доступ разрешён со всех ресурсов, но только к портам `80` и `443`.
+
+```shell
+kubectl apply -f frontend-policy.yml
+```
+
+### Задание 2
+
+> Изучить, что запущено по умолчанию.
+> 
+> Самый простой способ — проверить командой calicoctl get <type>.
+> Для проверки стоит получить список нод, ipPool и profile.
+> Требования: 
+> * установить утилиту calicoctl
+> * получить 3 вышеописанных типа в консоли.
+
+Для установки утилиты необходимо выполнить следующие команды:
+
+```shell
+curl -L https://github.com/projectcalico/calico/releases/download/v3.24.5/calicoctl-linux-amd64 -o calicoctl
+chmod +x ./calicoctl
+sudo mv calicoctl /usr/local/bin/
+```
+
+Для проверки установки:
+
+```shell
+calicoctl version
+```
+
+```text
+Client Version:    v3.24.5
+Git commit:        f1a1611ac
+Cluster Version:   v3.23.3
+Cluster Type:      kubespray,kubeadm,kdd
+```
+
+Следующим шагом необходимо получить информацию о сущностях кластера:
+
+* ноды:
+
+    ```shell
+    calicoctl get node --allow-version-mismatch
+    ```
+    
+    ```text
+    NAME
+    control
+    node1
+    ```
+
+* ipPools:
+
+    ```shell
+    calicoctl get ipPool --allow-version-mismatch
+    ```
+    
+    ```text
+    NAME           CIDR             SELECTOR
+    default-pool   10.233.64.0/18   all()
+    ```
+
+* profile:
+
+    ```shell
+    calicoctl get profile --allow-version-mismatch
+    ```
+    
+    ```text
+    NAME
+    projectcalico-default-allow
+    kns.default
+    kns.kube-node-lease
+    kns.kube-public
+    kns.kube-system
+    ksa.default.default
+    ksa.kube-node-lease.default
+    ksa.kube-public.default
+    ksa.kube-system.attachdetach-controller
+    ksa.kube-system.bootstrap-signer
+    ksa.kube-system.calico-node
+    ksa.kube-system.certificate-controller
+    ksa.kube-system.clusterrole-aggregation-controller
+    ksa.kube-system.coredns
+    ksa.kube-system.cronjob-controller
+    ksa.kube-system.daemon-set-controller
+    ksa.kube-system.default
+    ksa.kube-system.deployment-controller
+    ksa.kube-system.disruption-controller
+    ksa.kube-system.dns-autoscaler
+    ksa.kube-system.endpoint-controller
+    ksa.kube-system.endpointslice-controller
+    ksa.kube-system.endpointslicemirroring-controller
+    ksa.kube-system.ephemeral-volume-controller
+    ksa.kube-system.expand-controller
+    ksa.kube-system.generic-garbage-collector
+    ksa.kube-system.horizontal-pod-autoscaler
+    ksa.kube-system.job-controller
+    ksa.kube-system.kube-proxy
+    ksa.kube-system.namespace-controller
+    ksa.kube-system.node-controller
+    ksa.kube-system.nodelocaldns
+    ksa.kube-system.persistent-volume-binder
+    ksa.kube-system.pod-garbage-collector
+    ksa.kube-system.pv-protection-controller
+    ksa.kube-system.pvc-protection-controller
+    ksa.kube-system.replicaset-controller
+    ksa.kube-system.replication-controller
+    ksa.kube-system.resourcequota-controller
+    ksa.kube-system.root-ca-cert-publisher
+    ksa.kube-system.service-account-controller
+    ksa.kube-system.service-controller
+    ksa.kube-system.statefulset-controller
+    ksa.kube-system.token-cleaner
+    ksa.kube-system.ttl-after-finished-controller
+    ksa.kube-system.ttl-controller
+    ```